Bonjour Bus,

Ok trés bien, avant de continuer on va vérifier quelque chose et Nardino va nous y aider.
Attends son intervention.

A++

Bonjour.

Télécharge Combofix
IMPORTANT. Enregistre ComboFix.exe sur le Bureau.
Désactive les applications antivirus et anti-malware résidentes, en général via un clic droit sur l'icône de la Zone de notification.
Sinon, elles risquent d'interférer avec l'outil.
Fais un double clic sur l'icône et suis les invites.

Lorsque l'outil aura terminé, il affichera un rapport.
Surtout ne lance aucune application pendant le scan et après le redémarrage parfois nécessaire et provoqué.
Attends l'affichage du rapport
Copie le contenu dans ta prochaine réponse.
Il sera enregistré sous C:\Combofix.txt
@+

Voici le rapport de Combofix:

ComboFix 10-02-08.09 - Stéphane 09.02.2010 16:48:40.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.41.1036.18.2046.1221 [GMT 1:00]
Lancé depuis: c:\users\Stéphane\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-1070371420-295023708-545849085-500
c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500
c:\$recycle.bin\S-1-5-21-3030507328-3539051884-3605647501-500
c:\$recycle.bin\S-1-5-21-3902122447-900610744-3200546403-500
c:\windows\system32\muzapp.exe
c:\windows\system32\stacsv.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_STacSV


((((((((((((((((((((((((((((( Fichiers créés du 2010-01-09 au 2010-02-09 ))))))))))))))))))))))))))))))))))))
.

2010-02-09 16:01 . 2010-02-09 16:01 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-02-09 16:01 . 2010-02-09 16:01 -------- d-----w- c:\users\Corinne\AppData\Local\temp
2010-02-06 12:48 . 2010-02-06 12:48 -------- d-----w- c:\users\Corinne\AppData\Roaming\Intel Corporation
2010-02-03 17:43 . 2009-12-14 11:33 53248 ----a-w- c:\windows\system32\CSVer.dll
2010-02-03 17:39 . 2006-11-02 07:21 319456 ----a-w- c:\windows\system32\difxapi.dll
2010-02-03 17:38 . 2010-02-03 17:38 -------- d-----w- C:\Intel
2010-02-03 17:38 . 2009-10-02 11:40 432664 ----a-w- c:\windows\system32\drivers\iaStor.sys
2010-02-03 14:54 . 2010-02-03 14:54 -------- d-----w- c:\users\Public\Roaming
2010-02-03 14:54 . 2010-02-03 14:54 -------- d-----w- c:\users\Default\Roaming
2010-02-03 14:54 . 2010-02-03 14:54 -------- d-----w- c:\users\Corinne\Roaming
2010-02-03 14:54 . 2010-02-03 14:54 -------- d-----w- c:\programdata\Roaming
2010-02-03 14:51 . 2010-02-03 14:51 -------- d-----w- c:\program files\Cisco
2010-02-03 14:51 . 2010-02-03 14:51 -------- d-----w- c:\program files\Common Files\Intel
2010-02-03 14:51 . 2010-02-03 14:51 -------- d-----w- c:\programdata\Intel
2010-02-03 14:42 . 2010-02-03 14:42 -------- d-----w- c:\program files\Marvell
2010-02-01 18:15 . 2010-02-01 18:15 -------- d-----w- c:\program files\Sony Corporation
2010-02-01 12:39 . 2010-02-01 13:00 -------- d-----w- c:\program files\ma-config.com
2010-02-01 12:39 . 2010-02-01 12:39 -------- d-----w- c:\programdata\ma-config.com
2010-02-01 06:45 . 2009-05-18 13:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2010-02-01 06:45 . 2008-04-17 12:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2010-02-01 06:44 . 2010-02-01 06:44 -------- d-----w- c:\program files\iPod
2010-02-01 06:44 . 2010-02-01 06:45 -------- d-----w- c:\programdata\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2010-02-01 06:44 . 2010-02-01 06:45 -------- d-----w- c:\program files\iTunes
2010-02-01 06:42 . 2010-02-01 06:42 -------- d-----w- c:\program files\Bonjour
2010-02-01 06:18 . 2010-02-02 14:21 -------- d-----w- C:\Update
2010-02-01 06:13 . 2010-02-01 06:13 -------- d-----w- c:\program files\Apple Software Update
2010-01-31 15:47 . 2010-01-31 15:47 -------- d-----w- c:\program files\ZHPDiag
2010-01-28 16:13 . 2010-02-01 18:22 -------- d-----w- c:\programdata\OnlineArmor
2010-01-28 16:09 . 2009-12-05 06:28 24656 ----a-w- c:\windows\system32\drivers\OAmon.sys
2010-01-28 16:09 . 2009-12-05 06:28 30800 ----a-w- c:\windows\system32\drivers\OAnet.sys
2010-01-28 16:09 . 2009-12-05 06:27 223312 ----a-w- c:\windows\system32\drivers\OADriver.sys
2010-01-28 16:09 . 2010-01-28 16:09 -------- d-----w- c:\program files\Tall Emu
2010-01-25 07:34 . 2010-01-25 07:46 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-01-25 07:34 . 2009-03-30 09:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-01-25 07:34 . 2010-02-01 08:58 -------- d-----w- c:\program files\Avira
2010-01-25 07:34 . 2010-01-25 07:34 -------- d-----w- c:\programdata\Avira
2010-01-25 06:09 . 2010-01-25 06:09 -------- d-----w- c:\programdata\Office Genuine Advantage
2010-01-25 05:59 . 2010-01-25 05:59 -------- d-----w- c:\program files\Windows Portable Devices
2010-01-25 05:51 . 2009-09-10 02:00 92672 ----a-w- c:\windows\system32\UIAnimation.dll
2010-01-25 05:51 . 2009-09-10 02:01 3023360 ----a-w- c:\windows\system32\UIRibbon.dll
2010-01-25 05:51 . 2009-09-10 02:00 1164800 ----a-w- c:\windows\system32\UIRibbonRes.dll
2010-01-25 05:49 . 2009-10-01 01:02 30208 ----a-w- c:\windows\system32\WPDShextAutoplay.exe
2010-01-25 05:47 . 2009-10-08 21:07 4096 ----a-w- c:\windows\system32\oleaccrc.dll
2010-01-25 05:47 . 2009-10-08 21:08 555520 ----a-w- c:\windows\system32\UIAutomationCore.dll
2010-01-25 05:47 . 2009-10-08 21:08 234496 ----a-w- c:\windows\system32\oleacc.dll
2010-01-25 02:17 . 2009-10-19 13:38 156672 ----a-w- c:\windows\system32\t2embed.dll
2010-01-25 02:17 . 2009-10-19 13:35 72704 ----a-w- c:\windows\system32\fontsub.dll
2010-01-25 02:17 . 2010-01-02 06:38 916480 ----a-w- c:\windows\system32\wininet.dll
2010-01-25 02:16 . 2010-01-02 06:32 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-01-25 02:16 . 2010-01-02 06:32 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-01-25 02:16 . 2010-01-02 04:57 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-01-24 20:08 . 2010-01-25 10:26 -------- d-----w- c:\windows\CheckSur
2010-01-24 19:10 . 2010-01-24 19:11 -------- d-----w- c:\windows\system32\ca-ES
2010-01-24 19:10 . 2010-01-24 19:11 -------- d-----w- c:\windows\system32\eu-ES
2010-01-24 19:10 . 2010-01-24 19:11 -------- d-----w- c:\windows\system32\vi-VN
2010-01-24 15:56 . 2009-12-17 16:14 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-01-24 14:11 . 2010-01-24 14:11 -------- d-----w- c:\users\Corinne\AppData\Roaming\Malwarebytes
2010-01-24 14:10 . 2010-01-24 14:10 -------- d-----w- c:\users\Corinne\AppData\Roaming\OnlineArmor
2010-01-24 13:53 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-24 13:53 . 2010-01-24 13:53 -------- d-----w- c:\programdata\Malwarebytes
2010-01-24 13:52 . 2010-01-24 13:53 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-24 13:52 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-24 12:59 . 2008-03-17 10:57 103680 ----a-w- c:\windows\system32\drivers\ewusbfake.sys
2010-01-24 12:59 . 2008-03-17 10:05 101632 ----a-w- c:\windows\system32\drivers\ewusbmdm.sys
2010-01-24 12:59 . 2008-03-16 13:47 872192 ----a-w- c:\windows\system32\drivers\mod7700.sys
2010-01-24 12:59 . 2008-01-22 14:10 100864 ----a-w- c:\windows\system32\drivers\ewusbnet.sys
2010-01-24 12:59 . 2007-08-09 03:06 23424 ----a-w- c:\windows\system32\drivers\ewdcsc.sys
2010-01-24 12:50 . 2010-01-24 13:00 -------- d-----w- c:\program files\Mobile Partner
2010-01-11 19:20 . 2010-01-11 19:20 -------- d-----w- c:\windows\system32\config\systemprofile\{5cf23e1c-7da7-409d-8981-c7912795b31f}
2010-01-11 18:53 . 2010-01-11 18:53 -------- d-----w- c:\windows\system32\SPReview
2010-01-11 17:01 . 2010-01-11 17:01 -------- d-----w- c:\windows\system32\config\systemprofile\{44b09b8e-8ed3-42fd-aceb-ce07040b283d}
2010-01-11 16:10 . 2009-04-10 22:28 928768 ----a-w- c:\windows\system32\scavenge.dll
2010-01-11 16:09 . 2009-04-10 22:27 57856 ----a-w- c:\windows\system32\compcln.exe
2010-01-11 16:06 . 2009-04-10 22:28 69632 ----a-w- c:\windows\system32\sendmail.dll
2010-01-11 16:05 . 2009-04-10 22:28 950784 ----a-w- c:\windows\system32\gpedit.dll
2010-01-11 16:04 . 2009-04-10 22:28 391680 ----a-w- c:\windows\system32\mscms.dll
2010-01-11 16:03 . 2009-04-10 22:28 2868224 ----a-w- c:\windows\system32\mf.dll
2010-01-11 16:02 . 2009-04-10 22:28 744448 ----a-w- c:\windows\system32\wbem\wbemcore.dll
2010-01-11 16:01 . 2009-04-10 22:28 582144 ----a-w- c:\windows\system32\SLCommDlg.dll
2010-01-11 15:51 . 2010-01-11 15:51 -------- d-----w- c:\windows\system32\EventProviders

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-09 16:03 . 2007-07-20 16:20 12 ----a-w- c:\windows\bthservsdp.dat
2010-02-09 12:40 . 2008-09-03 17:52 -------- d-----w- c:\programdata\Google Updater
2010-02-06 10:13 . 2006-11-02 15:48 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-06 10:13 . 2006-11-02 15:48 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-02-03 17:49 . 2007-07-20 16:31 -------- d-----w- c:\program files\Intel
2010-02-03 17:38 . 2007-07-20 16:53 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-02 15:33 . 2010-02-02 15:33 2091768 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-02-01 18:40 . 2007-07-23 09:09 -------- d-----w- c:\program files\Common Files\Java
2010-02-01 18:38 . 2007-07-23 09:09 -------- d-----w- c:\program files\Java
2010-02-01 15:30 . 2007-07-23 08:59 -------- d-----w- c:\program files\Sony
2010-02-01 15:26 . 2007-07-23 08:48 -------- d-----w- c:\program files\Common Files\Sony Shared
2010-02-01 15:21 . 2007-07-23 09:07 -------- d-----w- c:\programdata\Sony Corporation
2010-02-01 06:44 . 2007-10-22 08:47 -------- d-----w- c:\program files\Common Files\Apple
2010-02-01 06:41 . 2007-10-22 08:50 -------- d-----w- c:\program files\QuickTime
2010-02-01 06:26 . 2010-02-01 06:26 79144 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
2010-01-25 05:58 . 2010-01-25 05:58 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_07_00.Wdf
2010-01-25 05:58 . 2010-01-25 05:58 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf
2010-01-25 05:52 . 2007-07-23 08:53 -------- d-----w- c:\programdata\Microsoft Help
2010-01-25 05:45 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-01-24 19:12 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Calendar
2010-01-24 19:12 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Sidebar
2010-01-24 19:12 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Collaboration
2010-01-24 19:12 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Journal
2010-01-24 19:12 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Photo Gallery
2010-01-24 19:12 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Defender
2010-01-14 10:12 . 2009-10-03 08:26 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-11 11:04 . 2007-07-23 09:03 -------- d-----w- c:\program files\Common Files\Symantec Shared
2010-01-10 14:39 . 2010-01-10 14:39 -------- d-----w- c:\program files\trend micro
2010-01-08 10:23 . 2010-01-08 10:23 364544 ----a-w- c:\windows\system32\yk60x86.dll
2010-01-08 10:23 . 2010-01-08 10:23 313344 ----a-w- c:\windows\system32\drivers\yk60x86.sys
2010-01-08 10:07 . 2010-01-08 10:07 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdRapi2_01_00_00.Wdf
2010-01-02 19:11 . 2007-10-17 15:06 80128 ----a-w- c:\users\Corinne\AppData\Local\GDIPFONTCACHEV1.DAT
2010-01-01 12:58 . 2007-07-23 08:45 -------- d-----w- c:\program files\Google
2009-12-31 16:36 . 2007-07-23 08:55 -------- d-----w- c:\program files\Microsoft Works
2009-12-31 12:23 . 2009-12-31 12:23 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-12-10 08:02 . 2007-10-17 15:06 49157 ----a-w- c:\users\Corinne\AppData\Roaming\nvModes.dat
2009-12-02 05:50 . 2009-12-02 05:50 484976 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtb7012.tmp.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"CTSyncU.exe"="c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-07-17 868352]
"Tunebite"="c:\program files\RapidSolution\Tunebite\Tunebite.exe" [2007-11-21 4904240]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2007-06-11 317560]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-11-01 30192]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]
"TomTomHOME.exe"="c:\program files\TomTom HOME\TomTomHOME.exe" [2007-01-29 3718312]
"SMSTray"="c:\program files\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-02-23 126976]
"MAAgent"="c:\program files\MarkAny\ContentSafer\MAAgent.exe" [2007-01-30 57344]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-06-28 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8429568]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"@OnlineArmor GUI"="c:\program files\Tall Emu\Online Armor\OAui.exe" [2009-12-05 6622920]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2009-10-02 284696]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-6-22 739880]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"EnableShellExecuteHooks"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{4F07DA45-8170-4859-9B5F-037EF2970034}"= "c:\progra~1\TALLEM~1\ONLINE~1\oaevent.dll" [2009-12-05 923336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2007-07-12 06:33 98304 ----a-w- c:\windows\System32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):ad,d3,b8,d3,df,92,ca,01

R1 OADevice;OADriver;c:\windows\System32\drivers\OADriver.sys [28.01.2010 17:09 223312]
R1 OAmon;OAmon;c:\windows\System32\drivers\OAmon.sys [28.01.2010 17:09 24656]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [25.01.2010 08:34 108289]
R2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [03.02.2010 18:39 13336]
R2 OAcat;Online Armor Helper Service;c:\program files\Tall Emu\Online Armor\oacat.exe [28.01.2010 17:09 1282248]
R2 regi;regi;c:\windows\System32\drivers\regi.sys [17.04.2007 19:09 11032]
R2 SvcOnlineArmor;Online Armor;c:\program files\Tall Emu\Online Armor\oasrv.exe [28.01.2010 17:09 3291336]
R2 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;c:\program files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [13.10.2007 07:48 292152]
R3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\System32\drivers\NETw5v32.sys [26.10.2009 05:47 4247552]
R3 OAnet;OnlineArmor Service;c:\windows\System32\drivers\OAnet.sys [28.01.2010 17:09 30800]
R3 R5U870FLx86;R5U870 UVC Lower Filter ;c:\windows\System32\drivers\R5U870FLx86.sys [21.07.2007 02:27 75008]
R3 R5U870FUx86;R5U870 UVC Upper Filter ;c:\windows\System32\drivers\R5U870FUx86.sys [21.07.2007 02:27 43904]
R3 ti21sony;ti21sony;c:\windows\System32\drivers\ti21sony.sys [21.07.2007 02:27 812544]
R3 VUAgent;VUAgent;c:\program files\Sony\VAIO Update 5\VUAgent.exe [01.02.2010 08:58 673136]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [01.01.2010 12:49 135664]
S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\System32\drivers\btwl2cap.sys [20.07.2007 17:58 28464]
S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [20.09.2008 16:59 21504]
S3 GoogleDesktopManager-093009-130223;Google Desktop Manager 5.9.909.30391;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [23.07.2007 10:02 30192]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [17.12.2009 19:00 243056]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\System32\drivers\mbamswissarmy.sys [24.01.2010 14:53 38224]
S3 VAIOMediaPlatform-UCLS-AppServer;VAIO Media Content Collection;c:\program files\Sony\VAIO Media Integrated Server\UCLS.exe [13.10.2007 07:51 745472]
S3 VAIOMediaPlatform-UCLS-HTTP;VAIO Media Content Collection (HTTP);c:\program files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe [13.10.2007 07:51 397312]
S3 VAIOMediaPlatform-UCLS-UPnP;VAIO Media Content Collection (UPnP);c:\program files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe [13.10.2007 07:51 1089536]
S3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;"c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe" --> c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe [?]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - hywmyz

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
2007-09-19 09:32 7680 ----a-w- c:\program files\PixiePack Codec Pack\InstallerHelper.exe
.
Contenu du dossier 'Tâches planifiées'

2010-02-09 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-07-23 13:50]

2010-02-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-01 11:48]

2010-02-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-01 11:48]

2010-02-09 c:\windows\Tasks\User_Feed_Synchronization-{4AA6A211-5C1E-48E8-BC75-DAC35A762B74}.job
- c:\windows\system32\msfeedssync.exe [2010-01-25 04:56]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.symbaloo.com/ch
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-YeppStudioAgent - c:\program files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
AddRemove-{69333A04-5134-40A5-A055-9166A7AA1EC8} - c:\program files\InstallShield Installation Information\{69333A04-5134-40A5-A055-9166A7AA1EC8}\setup.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-09 17:09
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hywmyz]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-3030507328-3539051884-3605647501-1000\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\ActiveSync]
"Name"="ActiveSync"
"DisplayName"="Microsoft ActiveSync"
"Param1"="ActiveSync"
"Type"="wellknown"
"Order"=dword:00000001
"State"=dword:00000020

[HKEY_USERS\S-1-5-21-3030507328-3539051884-3605647501-1000\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\IESettings]
"Name"="IESettings"
"Type"="IESettings"
"Order"=dword:00000003
"State"=dword:0000000b

[HKEY_USERS\S-1-5-21-3030507328-3539051884-3605647501-1000\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\MediaFiles]
"Name"="MediaFiles"
"Type"="MediaFiles"
"Order"=dword:00000002
"State"=dword:0000000b

[HKEY_USERS\S-1-5-21-3030507328-3539051884-3605647501-1000\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\Outlook]
"Name"="Outlook"
"DisplayName"="Microsoft Outlook"
"Param1"="Outlook"
"Type"="wellknown"
"Order"=dword:00000000
"State"=dword:0000000b

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:0000003d

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(1476)
c:\program files\Tall Emu\Online Armor\OAwatch.dll
c:\windows\system32\btncopy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe
c:\program files\Sony\VAIO Event Service\VESMgr.exe
c:\program files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
c:\program files\Sony\VAIO Event Service\VESMgrSub.exe
c:\program files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
c:\windows\system32\WUDFHost.exe
c:\program files\Sony\VAIO Power Management\SPMgr.exe
c:\program files\Sony\VAIO Update 5\VAIOUpdt.exe
c:\program files\Sony\Wireless Switch Setting Utility\Switcher.exe
c:\windows\system32\conime.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Heure de fin: 2010-02-09 17:23:46 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-09 16:23

Avant-CF: 105'042'593'280 octets libres
Après-CF: 105'533'560'832 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=55 Sets=1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55
- - End Of File - - 57202AE7775CFAB4F528A7D982E08C43

Bonsoir.

Télécharge SEAF.exe de C_XX
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
Double-clique sur le fichier SEAF.exe.
Coche Chercher également dans le registre
Dans la barre de recherche (ou est écrit atapi dans l'image) tape

hywmyz

Clique sur Lancer la recherche.
Le scan prendra quelques minutes et un fichier texte va s'ouvrir que tu postes par copier-coller.
Tu refermes le fichier et l'outil.



Et un autre petit contrôle.
Télécharge load_tdsskiller de Loup Blanc sur ton Bureau
http://fradesch.perso.cegetel.net/trans ... killer.exe

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

Lance load_tdsskiller en double-cliquant dessus. Clic droit et exécuter en tant qu'administrateur avec Vista/Sept
L'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan.
A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande
Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse
Le fichier est enregistré ici : C:\tdsskiller\report.txt
Fais redémarrer ton PC

@+

Bonjour,

Voici l'analyse de SEAF.exe:

1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 14:54:28 le 10/02/2010
4.
5. Valeur(s) recherchée(s):
6.
7. hywmyz
8.
9. (!) --- Recherche registre
10.
11. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
12.
13. "c:\Windows\System32\drivers\hywmyz.sys" [ ----A---- | 792064 ]
14. TC: 17/12/2009,09:21:10 | TM: 10/02/2010,15:00:56 | DA: 17/12/2009,09:21:10
15.
16. =========================
17.
18. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
19.
20. Aucun dossier trouvé
21.
22.
23. ====== Entrée(s) du registre ======
24.
25.
26.
27. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HYWMYZ\0000]
28. "DeviceDesc"="hywmyz"
29.
30. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HYWMYZ\0000]
31. "Service"="hywmyz"
32.
33. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HYWMYZ\0000\Control]
34. "ActiveService"="hywmyz"
35.
36. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet056\Enum\Root\LEGACY_HYWMYZ\0000]
37. "DeviceDesc"="hywmyz"
38.
39. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet056\Enum\Root\LEGACY_HYWMYZ\0000]
40. "Service"="hywmyz"
41.
42. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HYWMYZ\0000]
43. "DeviceDesc"="hywmyz"
44.
45. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HYWMYZ\0000]
46. "Service"="hywmyz"
47.
48. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HYWMYZ\0000\Control]
49. "ActiveService"="hywmyz"
50.
51. =========================
52.
53. Fin à: 15:05:20 le 10/02/2010 ( E.O.F )


A bientôt pour la suite ...

Re,

Pour le second contrôle à l'aide de tdsskiller, au terme de l'analyse le rapport affiché était vide !

A+

Bonjour,

Nous allons créer un script à exécuter avec Combofix.
ATTENTION : Cette procédure a été rédigée pour le cas présent, toute copie sur sur un autre système peut entrainer des dysfonctionnements graves.
Ouvre le bloc-notes : Tous les programmes-Accessoire-Bloc-notes
Colles-y les lignes écrites ci-dessous :
Veille à ce que Retour à la ligne ne soit pas coché dans Format.

http://www.libellules.ch/phpBB2/virus-rootkit-rkit-kryptic-763904-suppression-impossible-t34728-20.html#p232763
Collect::
c:\Windows\System32\drivers\hywmyz.sys

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HYWMYZ\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet056\Enum\Root\LEGACY_HYWMYZ\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HYWMYZ\0000]

Enregistre-le sous CFScript.txt, sur le bureau
Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe

Combofix va se lancer et faire redémarrer l'ordinateur.
Poste le rapport C:\Combofix.txt.
Donne des infos sur l'évolution de tes problèmes.

@+

Re,

Combofix a démarré, au terme du processus il n'a pas fait redémarré l'ordio.
De plus, aucun rapport n'a été créé, curieux !

J'avais le gardien des programmes de mon pare-feu (Oneline Armor) activé.
J'ai autorisé une quarantaine de programme à s'exécuter lors du processus.

A+

Bonsoir.
Il est bien précisé au début de la manip avec Combofix qu'il faut désactiver toutes les protections résidentes.
Tu n'as pas de rapport C:\Combofix.txt ?
@+

Bonjour,

Effectivement après avoir désactivé toutes les protections résidentes, la manip s'est déroulée sans soucis. Redémarrage de l'ordio OK.

Voici le rapport de Combofix:

ComboFix 10-02-08.09 - Stéphane 11.02.2010 7:59:50.2.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.41.1036.18.2046.1135 [GMT 1:00]
Lancé depuis: C:\Users\Stéphane\Desktop\ComboFix.exe
Commutateurs utilisés :: C:\Users\Stéphane\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

file zipped: c:\Windows\System32\drivers\hywmyz.sys
.

Bonne journée

A+

Bonjour
Comment les choses évoluent-elles après ce traitement ?
Rencontres-tu encore des problèmes et lesquels ?
@+

Re,

Rien n'a changé, le fichier C:\Windows\system32\Drivers\hywmyz.sys (Rootkit.Agent) est toujours là.
Le fichier en question se modifie en temps réel. En effet, le fichier évolue minute après minute selon les propriétés de la date de modification.

Mon ordio n'a jamais eu de comportement étrange et ça reste toujours le cas.

C'est juste lors d'un contrôle de routine que j'avais remarqué ce fichier douteux.

A+

Bonjour

Nouveau script Combofix.

KillAll::

rootkit::
C:\Windows\system32\Drivers\hywmyz.sys

File::
C:\Windows\system32\Drivers\hywmyz.sys

Poste le nouveau rapport.
@+

Re,

Voici le nouveau rapport:

ComboFix 10-02-08.09 - Stéphane 11.02.2010 16:54:15.3.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.41.1036.18.2046.1176 [GMT 1:00]
Lancé depuis: C:\Users\Stéphane\Desktop\ComboFix.exe
Commutateurs utilisés :: C:\Users\Stéphane\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"C:\Windows\system32\Drivers\hywmyz.sys"
.

A bientôt

Bonsoir
Merci pour le rapport mais il faut aussi me donner des informations sur l'évolution de la situation.
@+

Bonsoir,

Supresssion du fichier impossible et toujours actif.
L'ordio se comporte correctement.

A+

Bonsoir
Tu exécutes bien Combofix avec élévation des privilèges et en mode sans échec de préférence ?
@+

Bonjour Nardino,

Je commençais à désespérer mais ce matin tout va mieux.
J'ai certainement zappé une option quelque part lors de l'installation ou de la manip avec Combofix.
J'ai repris au début soit depuis le téléchargement de Combofix.
Ensuite, j'ai exécuté le premier script avec Combofix.

Oh miracle, le fichier suspect (C:\Windows\system32\Drivers\hywmyz.sys) a disparu.

Merci

A bientôt

Re,

Petit contrôle sur les performances du processeur après le traitement Combofix.
Dans le gestionnaire des tâches:
- Amélioration de l'utilisation du processeur
- Idem pour l'utilisation de la mémoire physique

A+

Bonjour.

Il reste à supprimer les outils utilisés pour la désinfection.
ZHPDiag
SEAF, tu vas dans le dossier Program Files\SEAF et tu cliques sur Uninstall SEAF.exe.
Combofix,
Ouvre un bloc-notes, dans menu Windows > Tous les programmes > Accessoires.
Copie-colle ce qui suit dans l'encadré

ComboFix /Uninstall
del c:\Combofix.txt
del c:\Qoobox

Enregistre sous RemCombo.bat sur le bureau
Double clique sur le fichier obtenu.
Réponds par O pour confirmer la suppression des fichiers.
Puis supprime RemCombo.bat
Et tu passes la question en résolu en éditant le titre de la question de base.
@+